华体育会app

根据甘肃省信息安全等级保护工作领导小组《关于印送国家等保办《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》的函》（公网安〔2020〕1960号）的工作要求，参照国家信息安全等级保护相关政策标准和《教育行业信息系统安全等级保护定级工作指南（试行）》，开展我校所有非涉密信息系统（网站）安全等级保护的定级备案工作。

一、定级依据

《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）

信息系统安全等级保护定级指南》（GB/T 22240-2008）

《信息系统安全等级保护实施指南》（GB/T 25058-2010）

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）

《信息安全等级保护管理办法》（公通字〔2007〕43号）

《教育行业信息系统安全等级保护定级工作指南（试行）》（教技厅函[2014]74号）

二、定级原理

（一）信息系统（网站）安全保护等级

 根据等级保护相关管理文件，信息系统（网站）的安全保护等级分为以下五级：

第一级，信息系统（网站）受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统（网站）受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统（网站）受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统（网站）受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统（网站）受到破坏后，会对国家安全造成特别严重损害。

（二）信息系统（网站）安全保护等级的定级要素

信息系统（网站）的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

1.受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：

a)公民、法人和其他组织的合法权益；

b)社会秩序、公共利益；

c)国家安全。

2.对客体的侵害程度等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

a)造成一般损害；

b)造成严重损害；

c)造成特别严重损害。

3.定级要素与等级的关系

定级要素与信息系统（网站）安全保护等级的关系如表1所示。

表1  定级要素与安全保护等级的关系

三、信息系统的定级工作流程

（一）校内各部门根据《教育行业信息系统安全等级保护定级工作指南》，对拟使用的信息系统填写《华体育会app信息系统（网站）审核备案表》（附件1）、《华体育会app信息系统（网站）安全等级保护定级备案报告》（附件2）,绘制《信息系统网络结构拓扑图》（内容格式可咨询网络安全与信息化建设办公室），必要时可由系统建设乙方单位提供协助进行。各部门完成材料准备后将以上材料提交至网络安全与信息化建设办公室。

（二）华体育会app组织信息化及安全领域专家组成“信息安全等级保护工作”专家组，对拟定级备案的信息系统进行安全等级定级评审，最终形成我校的《信息系统系统定级评审意见表》。

（三）网络安全与信息化建设办公室汇总所有信息系统定级备案材料，经华体育会app网络安全与信息化工作领导小组审核后开展相应的等级保护工作。其中一级系统校内登记备案，二级以上系统备案材料送交公安管理部门进行备案。

(四）根据备案结果，华体育会app组织开展信息系统等级保护测评企业开展测评工作，取得测评结论合格报告材料。

（五）信息系统完成信息系统定级后，需填写《华体育会app信息系统（网站）安全责任登记表》（附件3），《华体育会app信息系统（网站）安全责任书》（附件4），并将相关材料送至华体育会app网络安全与信息化建设办公室进行备案。

（六）获得等级保护备案证书的信息系统进入后期监督检查阶段。三级系统发生重大变化、重新建设或一年期限内必须重新测评，二级系统发生重大变化、重新建设或两年期限内必须重新测评。

四、工作保障

（一）确保信息系统网络安全等级保护工作的人员和经费保障。校内各单位要安排专人负责所属信息系统的整合和材料准备工作，同时，应安排专门经费开展由国家认定的测评企业开展的等级保护测评工作。

（二）建立信息系统网络安全等级保护工作长效机制。根据信息系统建设和应用情况，每年开展网络安全检查和整改工作。

附件：1.华体育会app信息系统（网站）审核备案表

2.华体育会app信息系统（网站）安全等级保护定级备案报告              

3.华体育会app信息系统（网站）安全责任登记表

4.华体育会app信息系统（网站）安全责任书

                              华体育会app

2024年10月25日

附件1

华体育会app网站/信息系统审核备案表

                                                                 备案编号：

附件2

华体育会appXXX信息系统（网站）

安全等级保护定级备案报告

一、XXX信息系统（网站）描述

从三个方面进行说明：一是描述承担信息系统（网站）安全责任的相关单位或部门，说明本单位或部门对信息系统（网站）具有信息安全保护责任，该信息系统（网站）为本单位或部门的安全等级保护定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统（网站）安全保护等级确定

（一）业务信息安全保护等级的确定

1.业务信息描述：描述信息系统处理的主要业务信息等。

2.业务信息受到破坏时所侵害客体的确定：说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3.信息受到破坏后对侵害客体的侵害程度的确定：说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4.业务信息安全等级的确定：依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定

1.系统服务描述：描述信息系统的服务范围、服务对象等。

2.系统服务受到破坏时所侵害客体的确定：说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3.系统服务受到破坏后对侵害客体的侵害程度的确定：说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4.系统服务安全等级的确定：依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定

信息系统（网站）的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统（网站）安全保护等级为第几级。

部门盖章：

                                年      月       日

附件3

华体育会appXXX信息系统(网站)

安全责任登记表

附件4

华体育会appXXX信息系统（网站）

安全责任书

___（部门名称）_因_____________需要，在__(具体地点)__部署___________系统(网站)，对外提供_____（服务内容）______服务。

____（部门名称）___向网络安全与信息化建设办公室申请固定公网IP地址（或公网IP地址映射）_____（IP地址）_____提供该系统（网站）的网络接入服务，并承诺履行该系统（网站）相关的信息安全责任，具体如下：

如果该系统（网站）部署在网络安全与信息化建设办公室提供的服务平台上，网络安全与信息化建设办公室不仅提供该系统（网站）的网络接入服务，同时承担该系统（网站）的部署环境、物理设备、操作系统、服务平台级别的信息安全隐患防范和安全处置工作；而___（部门名称）___对该系统(网站)应用服务、软件代码、信息内容、系统数据等方面存在的信息安全隐患防范、检测、应急响应和安全事件处置承担全部责任。

如果该系统（网站）由___（部门名称）___自行部署和运维，网络安全与信息化建设办公室仅提供相应的网络接入服务，___（部门名称）___对该系统(网站)涉及但不限于部署环境、物理设备、操作系统、应用服务、软件代码、信息内容、系统数据等方面存在的信息安全隐患防范、检测、应急响应和安全事件处置承担全部责任。

如果该系统（网站）存在涉及网络、系统、应用或内容等方面的信息安全隐患时，网络安全与信息化建设办公室有权采取应急措施对该系统（网站）停止网络服务，并通知该系统（网站）责任单位相关情况，由责任单位根据其承担的责任进行安全整改。当安全事件完全处置后，系统（网站）责任单位应向网络管理中心提交相应的信息安全隐患处置反馈报告，网络安全与信息化建设办公室将恢复该系统（网站）的网络服务。

 附件1华体育会app网站信息系统审核备案表.docx  

 附件2华体育会appxxx信息系统（网站）安全等级保护定级备案报告.docx 

 附件3华体育会appXXX信息系统(网站)安全责任登记表.docx

 附件4华体育会appXXX信息系统（网站）安全责任书.docx